山高月小,水落石出

   
   感慨啊！想到了苏轼《后赤壁赋》中的"山高月小,水落石出"。可惜没有后悔药或者时空穿梭机之类的，在这只能总结一些经验供后人参考。

    这段时间一直被ARP病毒困扰，也写了一些关于arp的文章，在文章里也对防病毒厂商有过一些抱怨。今天我的同事终于解决了一直困扰我们的arp病毒问题。

    LAN里的“arp病毒”居然是我们自己种植的！说来真是...,怪我们不细心。在此“病毒”之前网络是正常的，有一次财务来了新人，新增加了一台机器，可是财务室的网口不够用了，于是拿了一个闲置的路由器当交换机（他们没有闲置的交换机了）给新机器用，从那以后LAN里开始出现arp病毒了。偶尔某台机器掉线，后来陆续给他们安装arp防火墙，大家的也不再受影响，只是arp防火墙总是跳出受到arp攻击的信息有点烦人。

    之后我们就开始查找到底是哪台机器中毒了，我们逐一查找发起攻击的MAC地址，可是所有的机器都MAC都符合。于是我们猜想难到这是一种新的arp病毒，产生一个虚拟的MAC？如果真是这样就麻烦了，只能通过拆分法进行排除了。后来由于大家安装防火墙后上网都不受影响，也没有抱怨什么。我们也没计划什么时候找到病毒源头。

    我们的工作要求我们要很细心，一旦有所放松，就有的你忙了。在我们认为问题不大的时候，出大问题了。在LAN里有一个视频会议设备，这个设备有独立的IP地址。一个小系统集成在设备上，可以进行简单的配置。有一天公司开董事会，需要通过视频与台湾总部开会。就在这紧要关头视频设备出问题了，“arp病毒”这时候出来捣乱，害得我被老总K了一顿。

    第二天我同事过去的时候将当交换机的小路由器调到入网口去用，无意间发现arp病毒攻击者的MAC居然是这个小路由器的MAC，此时我们才恍然大悟，原来病毒是我们自己制造出来的。我们早该想到这一点，由于我们的疏忽，引来一场arp病毒风波。

    "山高月小,水落石出"啊。过去的无法挽回了，在这里希望大家引以为鉴，不要在日后的网络维护中重蹈我们的覆辙。

    最后我还想提一点，如果这是真的arp病毒，可以产生虚拟的MAC的arp病毒（我想对病毒制造者没什么好处，完全是搞破坏），我们的防病毒厂商是否有对应的arp病毒专杀工具呢？